Canvas Fingerprinting: A State of the Art

Canvas Fingerprinting: A State of the Art. Masters thesis, King Fahd University of Petroleum and Minerals.

[img]
Preview
PDF
Canvas_Thesis___Ahmed_Abouollo_(ePrint).pdf

Download (3MB) | Preview

Arabic Abstract

تقنية الكانفاس (Canvas) والتي أضيفت حديثا بصورة رسمية في لغة ترميز النصوص التشعبية (HTML) تسمح بعرض الأشكال ثنائية الأبعاد والصور النقطية ديناميكيًا. تعد تقنية الكانفاس واحدة من التقنيات التي تمثل بديلا بارزا لتقنية الفلاش والتي سيتوقف دعمها بحلول عام ٢٠٢٠ لكثرة الثغرات الأمنية فيها. من المثير للاهتمام أنه تم اكتشاف طريقة يمكن بها استخدام تقنية الكانفاس لأخذ بصمات من المتصفحات تمكن أصحاب المواقع من تتبع مستخدمي الإنترنت. هذه الرسالة تدرس تقنية الكانفاس من جوانب عدة: منها دراسة مدى انتشار التنقنية في الويب، وقدرتها على تمييز المستخدمين بهدف تتبعهم، إضافة إلى طرق وجدوى استخدام هذه التقنية لأغراض بناءة (كالكشف عن الهجمات الإلكترونية) وأغراض سلبية (كتهديد خصوصية مستخدمي الإنترنت(. من أهم استنتاجات هذه الدراسة إثبات أن واحدا من كل أربعة مواقع على الإنترنت تستخدم تقنية الكانفاس بشكل عام لجميع الأغراض السلبية منها والبناءة (بينما نسبة استخدام هذه التقنية لأغراض التتبع هي ۱٠,٤٤٪ كما تم ذكره سابقا)، وأنه بتحسين عينات الكانفاس المستخدمة لأخذ بصمات متصفحات الإنترنت استطعنا رفع معامل العشوائية (entropy) -والذي يستخدم لقياس القدرة في تمييز البصمات الإلكترونية- من ٠,٤٩ إلى ٠,٨٣.

English Abstract

Web applications' operators have many motivations to track users and gather as much user identifiable information about them as possible. With about three quarters of the web pages including third party trackers, privacy continues to be one of the major concerns to web users. This research is mainly focused on a tracking technique called Canvas fingerprinting. Canvas is an HTML element that allows to dynamically render 2D shapes and bitmap images. It is one of several technologies introduced in HTML5 making it a serious alternative to Flash which is being discontinued because of its multitude of security vulnerabilities. Interestingly, Canvas can be used for fingerprinting browsers, and hence for tracking users. This thesis is a state of the art of Canvas fingerprinting in which we explore the functionality the Canvas element was originally introduced for, provide updated results about the prevalence of Canvas in the web, its distinguishing capabilities, its positive (attack detection) and negative (attacks on privacy) use-cases. The major findings of this study is that Canvas is very common among web applications (1 out of 4 websites are using Canvas for all constructive and destructive purposes), while it was recently reported that the Canvas usage for fingerprinting is (10.44\%), which demonstrates the significance of Canvas and cost of disabling it, and by optimizing Canvas elements we could improve the distinguishing entropy from 0.49 to 0.83, which exceeds the distinguishing capability of the 18 non-Canvas fingerprints we studied. We performed several assessments that show the reliability of this reported entropy including cross data validation and benchmarking with other major fingerprinting datasets in the literature. The two novel constructive use cases we propose for utilizing Canvas are Using Canvas fingerprinting for the detection of fake accounts creation on web applications, and for session hijacking prevention. We studied the effectiveness of both techniques through an empirical study and the implementation of a proof of concept, respectively. We finally explored five scenarios where Canvas fingerprinting can be exploited to attack users’ privacy even when using different devices or visiting separate web applications.

Item Type: Thesis (Masters)
Subjects: Computer
Department: College Of Computer Sciences and Engineering > Information and Computer Science Dept
Committee Advisor: Zhioua, Sami
Committee Members: Ahmed, Moataz and Mahmood, Sajjad
Depositing User: AHMED ABOUOLLO (g201070160)
Date Deposited: 25 Feb 2019 09:50
Last Modified: 31 Dec 2020 07:02
URI: https://eprints.kfupm.edu.sa/id/eprint/140901